1 / 44

PKI 技术——测试答案讲解

PKI 技术——测试答案讲解. 选择题. PKI 具有如下的特点( AC) A、 普适性 B、 基于对称密码算法 C、 基于非对称密码算法 D、 专用于 RSA 算法. 选择题. PKI 能够为 ABCD 提供安全服务 A、 数据链路层 B、IP 层 C、 应用层 D、 会话层 E、 以上都不是. 选择题. 关于 CA, 下面说法那些是正确的( AC) A、CA 负责签发订户的数字证书 B、CA 没有自己的数字证书 C、CA 是 PKI 的核心部件 D、CA 和 CA 之间不能相互认证、相互签发证书. 选择题.

jermaine-riviere
Download Presentation

PKI 技术——测试答案讲解

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. PKI技术——测试答案讲解

  2. 选择题 • PKI具有如下的特点(AC) • A、普适性 • B、基于对称密码算法 • C、基于非对称密码算法 • D、专用于RSA算法

  3. 选择题 • PKI能够为ABCD提供安全服务 • A、数据链路层 • B、IP层 • C、应用层 • D、会话层 • E、以上都不是

  4. 选择题 • 关于CA,下面说法那些是正确的(AC) • A、CA负责签发订户的数字证书 • B、CA没有自己的数字证书 • C、CA是PKI的核心部件 • D、CA和CA之间不能相互认证、相互签发证书

  5. 选择题 • 一般认为,信息安全可以在哪些层提供 (ABCDE) • A应用层 • B数据链路层 • C网络层 • D会话层 • E物理层-防搭线窃听、防电磁辐射

  6. 选择题 • PKI可以提供如下的信息安全服务ABCD • A机密性 • B完整性 • C非否认 • D真实性 • E可用性-不行

  7. 选择题 • 在TCP/IP网络上,IP地址是IP层的通信地址,TCP层的通信地址是A • A、端口号 • B、数据长度 • C、校验和 • D、证书序列号

  8. 选择题 • CA交叉认证的结果是B • A、产生订户证书 • B、产生交叉证书 • C、产生CRL • D、产生OCSP

  9. 选择题 • 在Issuer Alternative Name中,可以包括×××× • CA的Email • CA的网站 • 订户的Email • CA的营业执照号码 • CA的IP地址

  10. 选择题 • 证书策略CP在证书中的表现形式是×××× • OID • 时间段 • URL • X.500 DN • 密码算法 • CPS内容 • 在证书中,仅仅是列出了CP的OID • 还可以给出相应CPS的URL(可选的)

  11. 选择题 • 命名限制Name Constraints扩展同时对证书的××××对起作用 • Issuer • Subject • Subject Alternative Name • Issuer Alternative Name

  12. 选择题 • 在CRL中,每个Entry表示了××××个被撤销的证书 • 1个 • 单证书PKI系统是1个、双证书PKI系统是2个 • 任意个 • 个数由CA在扩展中确定

  13. 选择题 • 如果证书中有Private Key Usage Period扩展,其Key Usage扩展必须包括××××用法 • dataEncipherment • digitalSignature • encipherOnly • keyAgreement • Private Key Usage Period扩展是因为数字签名的特殊性提出的 • 一次签名、永远验证

  14. 选择题 • 彻底地实现双证书体系,需要如下措施×××× • 建设KMC密钥管理中心 • 使用非关键的Key Usage扩展 • 使用关键的Key Usage扩展 • 实现合格的PKI应用系统 • 支持双证书的证书申请流程 • 专用的密码算法 • 遵纪守法的PKI使用者

  15. 选择题 • X.500目录中,Attribute Type是用××××表示的 • OBJECT IDENTIFIER • INTEGER • BIT STRING • ASCII

  16. 选择题 • 哪些证书的序列号应该出现在CRL上(D) • A、有效期内的正常证书 • B、过期的证书 • C、尚未生效的证书 • D、相应私钥泄漏的、有效期内的CA证书

  17. 选择题 • IETF PKIX的模型中,包括了如下的部件(ABCDEF) • A、终端实体 • B、CA • C、RA • D、CRL Issuer • E、资料库 • F、PKI User

  18. 选择题 • 资料库的形式可以是(ABCDEFG) • A、HTTP • B、FTP • C、电子邮件 • D、OCSP • E、X.500 • F、LDAP • G、关系数据库

  19. 选择题 • 以下哪些是非对称密码算法(BCF) • A、DES • B、RSA • C、ECC • D、IDEA • E、MD4 • F、ElGamal • G、移位密码

  20. 选择题 • PKI中,哪个部件负责审核订户提交信息的真实性(D) • A、CA • B、OCSP • C、End Entity • D、RA • E、密钥管理机构

  21. 选择题 • 在PKI中,以下哪些信息是可以公开的(ABCDEG) • A、最新的CRL • B、过期的订户证书 • C、CA的公钥 • D、订户的公钥 • E、签发证书时,所用的HASH算法 • F、订户私钥 • G、交叉证书

  22. 选择题 • 公钥密码算法又称为(ACDE) • A、Public Key Cryptography • B、分组密码算法 • C、Asymmetric Cryptography • D、双钥密码算法 • E、非对称密码算法

  23. 选择题 • 下面哪些操作系统上是可以使用PKI的 • ?

  24. 选择题 • PKI可用于保护如下事务的安全性 • 登录研究生院的选课系统 • 网上购物 • 电子邮件加密 • 网上投票系统 • 建设高安全的VPN • 电子公文办公系统 • 电子护照

  25. 选择题 • ElGamal算法和ECC算法的安全性是基于 • 离散对数 • RSA算法的安全性是基于 • 因子分解

  26. 选择题 • 关于HASH算法,哪些说法是正确的(BC) • A、一般,HASH算法的速度要慢于公钥算法 • B、一般,HASH算法的速度要快于公钥算法 • C、改变HASH算法输入的少量比特,会引起输出的巨大变化 • D、改变HASH算法输入的少量比特,不会引起输出的变化

  27. 判断题 • 根据《中华人民共和国电子签名法》基于PKI的数字签名是唯一合法有效的电子签名。 • FALSE • 第十三条 电子签名同时符合下列条件的,视为可靠的电子签名: • (一)电子签名制作数据用于电子签名时,属于电子签名人专有; • (二)签署时电子签名制作数据仅由电子签名人控制; • (三)签署后对电子签名的任何改动能够被发现; • (四)签署后对数据电文内容和形式的任何改动能够被发现。 • 当事人也可以选择使用符合其约定的可靠条件的电子签名。

  28. 判断题 • IETF PKIX的PKI的标准和ITU-T X.509标准是截然不同、互不兼容的。N • 对称密码算法的加密密钥和解密密钥是不同的、相互推导在计算上是不可行的。N • 订户要将自己的公钥和私钥都同时交给CA,CA才能签发数字证书。N • CA使用ECC签名算法给订户签发了一张含有RSA算法公钥的证书。Y • 从技术角度而言,实现单证书/单密钥的PKI系统是不可能的。N

  29. 判断题 • 订户证书对应的密钥对,只能由订户自己来生成。N • 按证书Subject的不同,可以将数字证书分为2种:CA证书、订户证书。Y • 2005年4月1日,《中华人民共和国电子签名法》正式实施。Y • 相同的消息、使用不同的HASH算法,产生的结果都是一样的。N • 流密码算法是非对称密码算法的一种。N

  30. 判断题 • 按照目前的计算机处理能力,256 bit的RSA算法密钥是安全的。N • 按照目前的计算机处理能力,128 bit的IDEA算法密钥是安全的。Y

  31. 判断题 • 如果我们找到了快速的因子分解算法,就能够破解RSA算法。Y • CA必须保持24小时在线服务,PKI才可能提供非否认服务。N • CA必须公开自己的公钥,用户才能验证其他订户证书的真伪。Y • 根据现有标准,证书有扩展,而CRL没有扩展。N • 一个实体A信任另一个实体B是指,A认为B的行为恰如A所预期的。Y

  32. 判断题 • 证书需要签发者进行数字签名,CRL不需要签发者进行数字签名。N • 检查证书撤销状态时,要同时进行OCSP和CRL检查,才是足够安全的。N • IE浏览器不支持PKI。N • 基于TCP/IP协议的计算机网络是实现PKI的前提条件。N

  33. 判断题 • 中国的PKI/CA建设是在《中国人民共和国电子签名法》实施后才开始的。N • 对一个密码算法而言,最重要的、最需要保密的是解密过程所用算法。N • 每一个PKI订户都应该秘密地保护好自己的数字证书。N

  34. 问答题 • 简述口令Password与密码Cryptography的不同。 • Cryptography指一系列变换算法,由key参数确定,从明文到密文的一一映射 • 口令仅仅是一串信息,和算法无关。表明用户知道某些信息。

  35. 问答题 • 使用相同密钥key、不同的明文a和b,进行DES加密计算(最简单的ECB模式),加密分别得到a’和b’,那么,a’有没有可能等于b’?为什么? • 不可能。 • 反证法:否则,不能解密。 • 加密算法是一一映射的。

  36. 问答题 • 因为资源的考虑,目前一般使用概率算法来得到素数,也就是说,得到2个“很可能”是素数的p、q。那么,如果一旦p和q中,有1个不是素数,这时,RSA算法的加解密等式有没有可能成立? • 可能。 • 反证。如果不可能。则,非素数=>不成立。 • 逆否命题就是:成立=>素数。 • 素性检验就不需要使用概率算法了。

  37. 问答题 • 写出RSA算法的密钥生成过程、以及加解密过程的表达式。 • 素数p和q,n=p×q • Ø=(p-1)×(q-1) • 取e与Ø互素,n和e公开,公钥 • 计算d×e=1 mod Ø,私钥 • 加密c=pe mod n • 解密p=cd mod n

  38. 问答题 • 简述一下PKI用户(PKI User)和PKI订户(PKI Subscriber)的不同。 • 是否拥有自己的证书密钥对

  39. 问答题 • Alice有1个证书,专门用于进行数字签名(在证书扩展中标明)。Alice不慎将该证书相应的私钥销毁了,Alice决定推迟数天再进行证书撤销,是否会有问题?如果是专门用于密钥协商的证书呢? • 签名的可以。以前的签名照样可以验证。 • 密钥协商的有问题,导致密钥协商进行不了。

  40. 问答题 • 有个CA,在其系统运行的初始阶段,其所签发的所有证书都没有出现问题(也就是,都不需要撤销),这时候,有没有必要签发CRL?为什么? • 需要 • 即使是所有的证书都没有问题,也应该明确地告诉所有的PKI用户 • 没有被撤销的证书,空列表的CRL

  41. 问答题 • 证书策略(Certificate Policies)扩展出现在订户证书和CA中,分别表示了什么意义? • CA证书:该CA所能够签发的订户证书级别 • 订户证书:订户证书的安全级别和使用范围

  42. 问答题 • 在Authority Key Identifier证书扩展中,可以有2种形式:(1)Key Identifier、(2)Authority Cert Issuer和Authority Cert Serial Number。但是,在Subject Key Identifier证书扩展中,却只有1种形式:Key Identifier。请说明其中的理由。 • 对于Authority Key Identifier,用形式(2)是有意义的; • 对于Subject Key Identifier,用形式(2)是多余的。

  43. 问答题 • 根据X.509的标准,在数字证书中,包括了tbsCertificate、signatureAlgorithm和signatureValue。其中,在tbsCertificate的里面,又有signature。事实上,signature和signatureAlgorithm表示的内容是一致的,都是CA签发证书时所用的签名算法。为什么同样的内容需要重复2次? • 参考Gutman的文章,X.509 Style。 • 有可能存在一种潜在的攻击。 • 改变外面的算法OID • 改成一种已经被攻破的算法 • 有限度的攻破(攻击者不能改变被签名数据的内容,也就是里面的算法OID)

  44. 问答题 • 请从2个方面的需求说明,为什么要建设双证书体系? • 一方面:政府希望加密是可控的,私钥应该在政府备份; • 另一方面:电子签名法规定,数字签名的私钥应该仅有订户掌握。 • 2个方面有不同的需求,所以,必须不能将同一个密钥用于2个方面,就要采用双证书。

More Related